迪普科技應(yīng)急響應(yīng)多家醫(yī)院網(wǎng)絡(luò)病毒攻擊

　　隨著醫(yī)療數(shù)據(jù)的價(jià)值被發(fā)現(xiàn)和重視,醫(yī)療數(shù)據(jù)安全問題日益凸顯,醫(yī)院等業(yè)內(nèi)機(jī)構(gòu)、企業(yè)已處于相當(dāng)復(fù)雜的數(shù)據(jù)安全環(huán)境之中。近年來，針對醫(yī)院的勒索、挖礦、醫(yī)療信息泄露等醫(yī)療行業(yè)的信息安全事件層出不窮，醫(yī)院信息系統(tǒng)已經(jīng)成為了不法黑客的重點(diǎn)攻擊對象之一。

　　近期，迪普科技某辦事處接到當(dāng)?shù)啬翅t(yī)院客戶的緊急求助。當(dāng)晚該醫(yī)院發(fā)現(xiàn)系統(tǒng)受到病毒感染，涉及內(nèi)網(wǎng)多個(gè)重要業(yè)務(wù)系統(tǒng)，導(dǎo)致大面積業(yè)務(wù)停頓。辦事處人員接到求助后，第一時(shí)間奔赴現(xiàn)場，采集病毒樣本。結(jié)合用戶反饋信息，迪普科技安全服務(wù)團(tuán)隊(duì)?wèi)?yīng)急小組立即啟動(dòng)應(yīng)急程序，第一時(shí)間開展分析溯源等響應(yīng)工作，力爭將病毒的危害范圍控制在最小，盡量降低不良影響。

　　■ 事件分析過程

　　發(fā)現(xiàn)信息系統(tǒng)的資源被大量的EnrollCertXaml.dll占用

　　登錄安全防護(hù)設(shè)備，發(fā)現(xiàn)攻擊記錄中存在可疑挖礦攻擊事件。

　　通過對受感染的主機(jī)進(jìn)行分析，結(jié)合識別為木馬的可疑dll文件，推斷用戶感染了挖礦病毒W(wǎng)annaMine的變種，進(jìn)一步探查樣例主機(jī)，發(fā)現(xiàn)了病毒存在的目錄與病毒的典型攻擊程序spoolsv.exe。

　　通過對病毒文件的分析，發(fā)現(xiàn)了變種在探測到系統(tǒng)存在永恒之藍(lán)的漏洞后，會在系統(tǒng)中安裝雙脈沖星后門，方便病毒的再生與傳播。

　　再次查看安全防護(hù)設(shè)備的挖礦病毒的攻擊記錄，從挖礦記錄的報(bào)文看，發(fā)現(xiàn)了錢包地址等信息，報(bào)文信息如下：

　　經(jīng)安全服務(wù)團(tuán)隊(duì)?wèi)?yīng)急小組分析研判，并連夜趕赴現(xiàn)場處置，醫(yī)院業(yè)務(wù)終于恢復(fù)正常。

　　然而，本次由于病毒攻擊導(dǎo)致的業(yè)務(wù)癱瘓事件的發(fā)生并非偶然，醫(yī)院網(wǎng)絡(luò)管理人員日常的安全意識不足，缺乏主動(dòng)的風(fēng)險(xiǎn)監(jiān)測手段、有效的應(yīng)急響應(yīng)機(jī)制，對內(nèi)網(wǎng)資產(chǎn)脆弱性掌握不足等，都為內(nèi)網(wǎng)安全埋下隱患。針對內(nèi)網(wǎng)安全現(xiàn)狀，迪普科技安全服務(wù)專家在第一時(shí)間也給出建議。

　　■ 安服建議

　　■ 迪普科技安全服務(wù)可針對醫(yī)療信息系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件做到第一時(shí)間的應(yīng)急響應(yīng)，幫助排查并解決。并可對HIS、LIS、EMR、RIS等關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行定期的風(fēng)險(xiǎn)評估、滲透測試，以及重大活動(dòng)期間的全方位保障，降低威脅事件發(fā)生的可能性及其造成的影響。同時(shí)可對網(wǎng)絡(luò)管理人員及醫(yī)護(hù)人員進(jìn)行安全意識及技能培訓(xùn)，提升人員安全技術(shù)水平。

　　■ 迪普科技慧眼安全檢測平臺可對醫(yī)院全網(wǎng)資產(chǎn)進(jìn)行主動(dòng)檢測，幫助快速摸排資產(chǎn)，精準(zhǔn)定位風(fēng)險(xiǎn)隱患，評估漏洞影響，及時(shí)通報(bào)并推動(dòng)整改，形成安全管理閉環(huán)。

　　■ 迪普科技網(wǎng)絡(luò)安全威脅感知大數(shù)據(jù)平臺通過大數(shù)據(jù)分析能力，針對醫(yī)療行業(yè)勒索病毒頻發(fā)，可實(shí)現(xiàn)內(nèi)網(wǎng)病毒威脅精準(zhǔn)檢測，定位失陷主機(jī)、還原攻擊過程、溯源黑客信息。以主/被動(dòng)引擎檢測為手段，基于深度學(xué)習(xí)模型算法、事件關(guān)聯(lián)分析規(guī)則、違規(guī)及異常行為分析、威脅情報(bào)等技術(shù)，實(shí)現(xiàn)安全態(tài)勢全方位感知，提升防護(hù)效率，降低運(yùn)維成本。

　　■ 迪普科技智能安全網(wǎng)關(guān)集成了IPSec、SSL、GRE等多種VPN技術(shù)，支持國密算法，實(shí)現(xiàn)醫(yī)院與衛(wèi)計(jì)委、移動(dòng)辦公人員的統(tǒng)一安全接入，提供內(nèi)部業(yè)務(wù)跨互聯(lián)網(wǎng)的安全訪問。

　　■ 迪普科技LSW-SE系列自安全交換機(jī)，可主動(dòng)識別木馬、蠕蟲等病毒傳播行為并實(shí)時(shí)處置，天然防止病毒傳播，搭配自安全控制器的"醫(yī)療業(yè)務(wù)白名單”防護(hù)功能，可實(shí)現(xiàn)醫(yī)技終端以及醫(yī)院數(shù)據(jù)中心服務(wù)器的安全防護(hù)，天然阻斷非授信訪問、病毒傳播、網(wǎng)絡(luò)環(huán)路等事件。

　　■ 迪普科技IPS2000入侵防御系統(tǒng)具有專業(yè)的攻擊檢測引擎、病毒查殺引擎以及全面的特征庫，可有效識別并阻斷各類攻擊及病毒傳播行為，有效保障醫(yī)院各業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。

　　■ 迪普科技WAF3000產(chǎn)品可對醫(yī)院各Web應(yīng)用如預(yù)約掛號、在線問診等提供全面的安全防護(hù)，如通過事前防掃描、事中防攻擊及事后防篡改對黑客攻擊行為提供全流程的安全防護(hù)，且針對緊急安全事件，可通過網(wǎng)站一鍵下線功能，實(shí)時(shí)中斷攻擊，防止安全事件進(jìn)一步擴(kuò)散。

　　計(jì)算機(jī)信息有共享和易于擴(kuò)散等特性，在處理、存儲、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞。面對種種危機(jī)，迪普科技一直將守護(hù)客戶的網(wǎng)絡(luò)安全視為己任，不僅推出全場景的安全檢測分析及防護(hù)解決方案，同時(shí)配合風(fēng)險(xiǎn)評估、滲透測試、安全加固、運(yùn)維保障等專業(yè)安全服務(wù)，全方位保障用戶網(wǎng)絡(luò)安全，為用戶網(wǎng)絡(luò)安全建設(shè)創(chuàng)造更大價(jià)值。